約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委
すぐに規程へ対応できないことから、私的なインターネット接続を禁止し、端末内の作業データを当日中にすべて削除するといった時限的な例外措置を定め、定期的に自主点検を行うことを条件にNTTドコモでは許容していたという。
しかしながら例外措置は守られておらず、元従業員は端末内の自身しか把握していない場所にデータを保存。作業を終えてもデータを削除せず、ウェブブラウザのプライベートモードを用いて無断でクラウドサービスにアクセスし、データをアップロードしていた。
元従業員は、作成したツールのソースコードをノウハウとして持ち出したかったと話しており、個人データの第三者提供については行っていないと説明している。
また大量の顧客個人データを取り扱っているシステムだったが、外部インターネットへのアクセス制御をブラックリスト方式で運用しており、業務上不要なサイトへもアクセスできる状態だった。
個情委では、半年以上も組織における基準に適合していない状況下で、追加的運用ルールも徹底されておらず、物理面、技術面における安全管理措置が不十分だったと指摘した。
(Security NEXT - 2024/02/15 )
ツイート
PR
関連記事
「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起
小学校で個別書類あると気づかず身体測定結果を誤配布 - 名古屋市
個人情報含むファイルを県内自治体に誤送信 - 静岡県
廃棄物運搬事業者への事務連絡メールで誤送信 - 横須賀市
Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出
開発言語「R」のデシリアライズ処理に脆弱性 - 修正版へ更新を
保守委託先で顧客情報含むHDDが所在不明 - はばたき信組
サポート詐欺被害で情報流出の可能性 - 高齢・障害・求職者雇用支援機構
「改訂新版セキュリティエンジニアの教科書」が発売 - 日本シーサート協議会
QNAP製NASやアドオンに脆弱性 - 旧アドバイザリも更新、影響大きい脆弱性を追加